萬事達卡境外被盜刷背后：跨境支付的安全考問與責任「黑洞」

（來源：北京商報）

「人在家中坐，賬單從海外來」「信用卡貼身存放，交易卻出現在了本人從未去過的地方」「收到入賬提醒后去查賬，才發現實際交易在兩天前已經發生，此前卻沒有任何提示」……過去幾日間，類似的被盜刷信息在社交平臺「刷屏」了，涉事的浦發銀行和萬事達卡被推上了風口浪尖。

結合多方信息來看，浦發銀行本次盜刷事件主要集中在浦發萬事達「紅沙宣」信用卡產品，在監測到部分未經授權的交易后，浦發銀行、萬事達卡及萬事網聯啟動應急調查，盜刷款項無需持卡人承擔。

而這並非孤例。9月16日，北京商報記者進一步調查發現，不僅僅是前述「紅沙宣」信用卡產品捲入盜刷風波，9月以來中信銀行萬事達的借記卡也有遭遇盜刷的情況。多名消費者指出，自己名下的中信銀行「暗黑破壞神」萬事達借記卡被盜刷。

不同銀行、不同卡種的盜刷信息背后，均指向了提供服務的萬事達卡。作為連接全球商户與發卡機構的核心樞紐，銀行卡清算組織萬事達卡在此次事件中的角色與責任，成為透視跨境支付安全生態的關鍵窗口。

盜刷四起

技術防線的現實裂縫

浦發銀行信用卡盜刷風波紛紛揚揚，無人關注的角落里，還有一家銀行的借記卡持卡用户也遭遇了同樣的問題。

消費者張天（化名）告訴北京商報記者，9月12日，其收到中信銀行推送的消費通知，頁面信息顯示銀行卡在境外消費9.64元人民幣。張天迅速意識到銀行卡被盜刷，隨后立即向中信銀行客服反饋了相關信息。

經中信銀行客服覈實，該筆交易刷卡地點在印尼，交易金額約為22000印尼盾，在扣款的四天前，張天所持有的這張借記卡已經在9月8日發生了預授權。張天對此卻並不知情，這也讓他不禁質疑，為何在預授權時，銀行方面沒有任何提醒。對此，中信銀行客服的解釋是，張天並未開通短信提醒功能。

在公開社交平臺上分享這一經歷后，張天找到了幾位同樣持有中信銀行「暗黑破壞神」萬事達借記卡且被盜刷的用户，還有一名被盜刷用户的交易商户與張天相同。而在張天發起的討論中，還有不少持有同系列借記卡的用户表示自己遇到了同樣的情況。

張天的遭遇也引起了劉宇（化名）的關注。比張天更早一點，劉宇在9月3日晚間連續收到中信銀行短信通知，提示其交易被防盜刷安全鎖中止。「這張卡一直在我身邊，上一次使用是2024年12月在日本。本次盜刷方一共嘗試了三次都被系統攔截了，因此沒有造成我的實際損失。次日我便向銀行申請了換卡，這會對卡片有效期和CVV2碼進行更新。因為實際交易被中止，銀行方也無法查詢盜刷具體發生在何處。」劉宇表示。

針對消費者反饋的借記卡被盜刷問題，何種情況下會觸發「防盜刷安全鎖」、對於盜刷等風險交易有哪些防範措施，北京商報記者向中信銀行進行採訪，截至發稿，未收到回覆。

就在劉宇、張天接連遭遇盜刷的期間，浦發銀行萬事達「紅沙宣」信用卡被大規模盜刷，越來越多的消費者在社交平臺發佈信息反饋情況，引發多方關注。綜合多方信息來看，被盜刷的信用卡中涉及到的情況包括異常交易未被攔截、限額卡片被超額消費、已申請註銷或已申報掛失的卡片仍被盜刷等多類，交易地點則均發生在境外。

9月13日，浦發銀行信用卡中心、萬事達卡、萬事網聯相繼發佈情況説明，均表示檢測到部分萬事達無價世界卡發生未經授權的交易，已經第一時間啟動應急響應。從北京商報記者最新進展來看，涉事方確認盜刷款項無需持卡人承擔，會陸續進行調賬處理。

責任鏈條博弈

卡組織與多方的權責邊界

相較於能被大額消費的信用卡，部分借記卡被盜刷的用户有些慶幸，由於借記卡內余額較少，造成的資金損失並不大，但這也並不能完全打消持卡用户對於盜刷的擔憂。

對於引發相關盜刷的原因，業內眾説紛紜，更多質疑指向了發卡行和卡組織的風控體系。有行業人士表示，銀行卡被盜刷的情況在業內時有發生，尤其是跨境支付領域，被盜刷的原因五花八門，並不能「一刀切」。此外，劉宇也在採訪中提到，自己另外持有匯豐銀行和招商銀行的萬事達借記卡，則未發生盜刷情況。

而在浦發銀行與萬事達卡的聲明中，「已啟動應急響應」「客户無需承擔損失」的承諾背后，還有一套複雜的跨境支付責任分配體系。

在跨境支付中，發卡行負責簽發支付卡片、審覈交易並從持卡人賬户扣劃相應資金。而萬事達卡這類卡組織則負責搭建全球支付網絡、在不同銀行間傳遞交易指令、進行清算與結算，並負責貨幣轉換。持卡人跨境消費后，交易信息經卡組織網絡在發卡行與收單方間傳遞。

2023年11月，經人民銀行許可，萬事達卡與網聯清算公司合資成立萬事網聯，這也是我國第三家獲准運營的銀行卡清算業務機構，后於2024年5月正式營業。萬事網聯開業后，陸續與境內多家支付機構達成合作，合作支付機構的收單系統可全面受理境內外發行的萬事達卡。

9月16日，有支付機構方面告訴北京商報記者，作為收單側，更多獲取的是商户信息，正常情況下無法獲得消費者交易的完整卡片信息，尤其是卡號、有效期、CVV2碼等，風控體系更關注的是電詐、洗錢等。對於不合理的交易，收單側在意識到風險時，會請求發卡行進行校驗，就是較為日常的短信驗證碼環節。

而盜刷事件背后，實際上是多個環節的風控審覈缺失。另有跨境支付行業從業人員指出，在跨境場景中，理論上，卡組織應該對每筆交易進行風控評估，並向發卡行實時推送境外交易數據，銀行則需將用户賬户狀態、額度變動等信息同步至卡組織系統。風險分數較高的交易，在卡組織這一環就會被拒絕。相關盜刷事件中，卡組織與發卡行的協同機制首先出現了斷層。

此外，前述從業人員表示，除了發卡行、卡組織、收單機構以及商户外，境外消費的鏈條上還有一環是信息處理商，用於保障信息轉換與傳輸。常規交易中，一筆交易發起到完成需要經歷卡組織、信息處理商、發卡行、收單機構等多重風控體系審覈，盜刷即意味着風控體系全部失效，或是存在部分環節風控能力薄弱、過度依賴其他環節的審覈能力，最終造成盜刷。

對於產生盜刷的主要原因和具體的防範措施，北京商報記者向浦發銀行、中信銀行以及萬事達卡等進行採訪，截至發稿，未收到公司回覆。在各方具體的責任劃分方面，多位受訪人士指出，具體還是要看官方公佈導致盜刷的原因。

協同監管

跨境支付安全的規則重構

按照行業慣例，盜刷交易的責任判定需考察交易時間、地點、驗證方式等諸多要素，但發生在境外的盜刷則為這類追責增加了難點。

在發現被盜刷后，張天曾數次向中信銀行尋求解決方案，但未能獲得有效回覆。「銀行認定我是綁定了境外支付后導致的扣費，現在我仍在等待銀行給我處理方案。不能因為受損金額少就忽視掉我們的合理訴求，畢竟誰也不能保證下一次被盜刷的是誰的銀行卡。」張天表示。

張天的焦慮也折射出跨境支付領域長期存在的信息不對稱，用户難以知曉自己的卡片信息如何流轉、在哪些環節存在泄露風險，只能被動依賴發卡機構和卡組織的安全承諾。

20年前，萬事達卡合作的金融交易數據處理廠商CardSystems Solutions遭遇重大黑客攻擊，導致大量用户賬户信息被泄露，極大地推動了支付卡行業數據安全標準的合規與強化。當前，金融機構的智能防控技術雖已大幅升級，但跨境支付的複雜性仍給欺詐分子可乘之機。

盜刷事件背后，全球化支付網絡的技術統一性與地區監管差異性之間衝突仍存。早在2016年，中國人民銀行發佈《關於進一步加強銀行卡風險管理的通知》，要求全面應用支付標記化技術，對交易信息進行脱敏處理，並建立緊急止付和快速凍結機制。但前述從業人員也提到，境外部分地區商户端驗證執行標準參差不齊，為防盜刷增添了難度。

自2014年開始，萬事達卡開始在全球支付網絡內推行支付標記化服務，隨着萬事網聯在中國展開業務，這一服務在中國境內也已落地。據介紹，支付標記化服務，即應用支付標記化技術，替代銀行卡卡號、卡片驗證碼、支付機構支付賬户等敏感信息，通過設置支付標記的交易次數、交易金額、有效期和支付渠道等約束規則，從源頭控制信息泄露和欺詐交易風險。

在博通諮詢首席分析師王蓬博看來，跨境支付安全薄弱環節主要表現在跨境風控斷層、應急響應迟緩，以及銀行與卡組織風險數據共享不及時等方面。卡組織作為結算方，需履行技術風控義務，應通過系統漏洞追溯、跨境風險攔截阻斷盜刷，並協助銀行完成資金賠付流程。

在發卡行與卡組織的協同上，王蓬博指出，首先雙方需打破信息壁壘，建立實時數據共享機制，例如發卡行可共享客户日常消費場景、地域偏好等行為數據，結算方可同步跨境高風險地區交易動態、商户合規信息，及時攔截異常交易；其次應聯合推進技術升級，加快芯片卡全面普及，並共同研發智能風控系統，強化對反常交易的主動預警能力；最后要明確權責劃分與應急流程，通過協議約定盜刷事件中發卡行的先行賠付責任、結算方的風險溯源與漏洞阻斷義務。

北京市社會科學院副研究員王鵬則建議，跨境支付盜刷問題需通過「技術防禦強化—責任邊界明晰—監管協同升級」構建閉環體系。技術層面應加速動態加密與AI風控普及，由國際組織牽頭制定跨境支付安全框架，明確發卡行、卡組織、商户的責任邊界與協作流程。同時，要強化消費者保護，提醒消費者關閉非必要境外支付功能，最終實現安全與效率的平衡。

北京商報記者 廖蒙